Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите демоверсию и консультацию

+7(495) 221-24-31
или

Узнайте стоимость


Вернуться к списку

Законодательные акты Европы и США в сфере ИТ-безопасности

Законодательные акты Европы и США в сфере ИТ-безопасности

Данная статья посвящена проблеме законодательного регулирования многих аспектов, связанных с информационными системами, ИТ-безопасностью и защитой конфиденциальных сведений от кражи или утечки. Большое число регулятивных норм приводит к некоторой неясности, где, как и какое решений может быть использовано для удовлетворения требований законодательных актов. Представленный материал призван систематизировать те законы, касающиеся ИТ-безопасности, которые оказывают наиболее значительное влияние на индустрию. Попутно приводятся сценарии использования продуктов и технологий для защиты от одной из самых опасных угроз современности — утечки приватных или секретных данных.

Законодательство и ИТ-безопасность

Введение законодательного регулирования в некоторых секторах экономики и среди правительственных агентств заставило организации многих стран обратить самое пристальное внимание на проблему защиты приватной и конфиденциальной информации. Вот лишь некоторые из появившихся за последние годы норм:

o European Union Data Protection Directive — Директива Европейского Союза о Защите Данных
o Insurance Portability and Accountability Act (HIPAA) — Закон о преемственности страхования и отчетности в области здравоохранения
o Sarbanes-Oxley Act of 2002 (SOX) — Акт Сарбаниса-Оксли
o US Patriot Act
o Gramm-Leach Bliley Act (GLBA) — Закон Грэма-Лича-Блилей
o California SB 1386 — Закон штата Калифорния SB 1386
o Basel II — Базельское соглашение по капиталу в странах OECD* (Organization for Economic Co-operation and Development — Организация экономического сотрудничества и развития)
o Другие

Организации просто вынуждены внедрять новые информационные продукты, которые помогут удовлетворить требованиям регулирующих норм. В противном случае они рискуют оказаться в суде по делу об уголовной или гражданской ответственности, что может привести к наказанию высших должностных лиц или огромным штрафам.

Информационные технологии играют важную роль в сфере обеспечения соответствия требованиям законодательных актов. С их помощью можно контролировать целостность данных, предотвращать неавторизованный доступ к ним, обеспечивать хранение и защиту корпоративной корреспонденции для аудита или расследования в будущем. Таким образом, регулятивные нормы стимулируют рост инвестиций в ИТ-безопасность, системы хранения и резервного копирования, средства управления жизненным циклом и другие группы информационных продуктов.

ИТ-безопасность является одним из основных секторов, который выигрывает вследствие введения указанных выше законодательных актов. Особенно такие рынки, как шифрование, обнаружение вторжений, управление доступом и личностью и т.д. Однако наиболее тесно с регулятивными нормами связан рынок решений для предотвращения утечек приватной и чувствительной информации (Anti-Leakage Software или Information Leakage Detection and Prevention).

Сегодня организации должны быть уверены, что их сотрудники не могут ни случайно, ни умышленно нарушить закон, находясь на рабочем месте. Следовательно, продукты и технологии, защищающие от утечек конфиденциальных данных через сетевые каналы и на уровне рабочих станций, занимают важное место в стратегии компаний по удовлетворению требований законодательных актов.

European Union Data Protection Directive

DPD (Data Protection Directive) — директива о защите данных, принятая в Европейском Союзе в 1995 году. Она защищает приватные сведения граждан, так называемую персональную идентифицирующую информацию (Personal Identifiable Information – PII). Директива обязывает каждое государство, входящее в состав Союза, принять свой собственный закон о защите приватных сведений, совместимый с рекомендациями OECD от 1980 года. Среди этих рекомендаций стоит отметить Принцип гарантированной безопасности N11 (Security Safeguards Principle 11), который требует, чтобы «персональные данные были защищены разумными средствами безопасности от таких угроз, как утрата или неавторизованный доступ, разрушение, использование, модификация или разглашение». Директива Евросоюза также вводит классификацию личных данных (медицинские, финансовые и т.п.). Каждая категория таких данных требует дополнительных мер безопасности ввиду ее конфиденциальной природы.

Сравнивания эту директиву с аналогичными законодательными актами в США, следует признать, что она значительно жестче. Например, директива Евросоюза требует защищать персональную идентифицирующую информацию (PII), как клиентов компании, так и ее сотрудников, что не характерно для законодательства США (подробнее см. ниже). Более того, эта директива запрещает передавать приватные данные в страны, где законы, защищающие конфиденциальность, не адекватны аналогичным актам в Евросоюзе. Хотя директива не определяет, какие конкретно решения следует использовать для защиты персональной идентифицирующей информации, странам, членам Союза, дана достаточная свобода, чтобы урегулировать и этот вопрос. Например, законодательство Италии требует от представителей бизнеса защищать данные с помощью брандмауэра и антивируса, а в Испании некоторые виды приватных данных должны храниться в зашифрованном виде. Нарушение директивы Евросоюза может привести к наступлению гражданской и уголовной ответственности, включая большие штрафы, а в некоторых странах даже лишение свободы.

Basel II Accord

Базельское соглашение по капиталу (Basel II Capital Accord) вступит в силу с конца 2006 года в большинстве стран, входящих в состав OECD. Он требует от финансовых институтов подсчитать кредитные, рыночные и производственные риски, чтобы убедиться, что имеющихся [накопленных] сбережений достаточно для покрытия этих рисков. Таким образом, соглашение регулирует величину резервных отчислений банков и определяет действия в отношении управления рисками кредитования.
Хотя Basel II Accord не обсуждает меры ИТ-безопасности напрямую, все же имеет к ним определенное отношение. Например, производственный риск определяется соглашением, как «прямые или косвенные убытки вследствие неадекватных или неудовлетворительных внутренних процессов, действий персонала и систем или вследствие внешних событий». Таким образом, подпадают под действие Basell II и бреши ИТ-безопасности. С этой точки зрения, защита чувствительной информации и приватных данных клиентов от неавторизованного доступа приравнивается к управлению производственными рисками, а это, в свою очередь, юрисдикция базельского соглашения по капиталу. Таким образом, финансовые организации обязаны внедрять соответствующие информационные продукты, в противном случае они столкнутся с санкциями.

Sarbanes-Oxley Act of 2002

Акт Сарбаниса-Оксли (Sarbanes-Oxley Act of 2002, SOX) был принят в США в 2002 году в связи с крупными корпоративными скандалами таких компаний, как Enron и WorldCom. Акт определяет требования к финансовому менеджменту в компаниях, представленных на фондовой бирже США. Он требует точности ведения финансовых отчетов и предотвращения бухгалтерских ошибок и правонарушений, которые бы могли повлиять на акционеров компании и общественность.

Более того, Акт Сарбаниса-Оксли возлагает ответственность на генеральных исполнительных и финансовых директоров (CEOs и CFOs), которые обязаны провести сертификацию своей компании на предмет полноты финансовой отчетности и отсутствия в ней неточных или вводящих в заблуждение утверждений. Ответственность высших исполнительных лиц прописана в секции N44. Например, несовместимость с Актом Сарбаниса-Оксли может стоить до 5 млн. долларов для физических лиц и до 25 млн. долларов для юридических, плюс до 20 лет лишения свободы. Таким образом, эта секция требует от директоров компании обеспечить «внутренний контроль над финансовой отчетностью». Именно это требование является тем мостом, который связывает данную регулятивную норму с продуктами и технологиями для предотвращения утечек конфиденциальной информации.

В рамках этой ответственности компании обязаны «обеспечить разумные меры для предотвращения или своевременного обнаружения неавторизованных приобретения, использования или ликвидации корпоративных активов, если это может повлиять на финансовое благосостояние компании». Широкое толкование термина «активы» включает цифровые активы, например, исходные коды, торговые секреты, записи пациентов и любую другую чувствительную информацию, неавторизованное разглашение которой может негативно отразиться на стоимости акций фирмы и ее денежном благосостоянии. Следовательно, организации обязаны бдительно следить за использованием всех этих активов и быть в состоянии предотвратить утечку в реальном масштабе времени или достаточно быстро. Все это имеет прямое отношение к продуктам и технологиям в сфере предотвращения кражи конфиденциальных данных. Следовательно, аудит, ведение отчетности и оценка рисков также являются неотъемлемой частью требований Акта Сарбаниса-Оксли.

HIPAA

Закон о преемственности страхования и отчетности в области здравоохранения (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. Он преследует две основные цели. Во-первых, упростить осуществление транзакции в сфере здравоохранения путем использования стандартов, общепринятой кодовой классификации и уникальных медицинских идентификаторов (unique health identifiers). Во-вторых, защитить конфиденциальность информации о здоровье пациента. Под юрисдикцию HIPAA подпадают не только предприятия, оказывающие медицинские услуги, но и все представители бизнеса, имеющие отношение к здравоохранению: страховые компании, правительственные агентства и т.д.

Раздел данного закона, относящийся к приватности (HIPAA Privacy Rule), определяет административные, физические и технические меры, которые включают стандарты для сохранения приватности Защищенной Электронной Медицинской Информации (Electronic Protected Health Information – EPHI). Эти стандарты выдвигают определенные требования, которые имеют прямое отношение к продуктам и технологиям в сфере предотвращения утечек. Например, реализация политик и процессов для осуществления любых операций с EPHI и доступа к этим данным; составление отчетов об инцидентах; сохранение информации [следов] о том, как записи EPHI передавались внутри организации, покидали ее пределы и были получены извне; обеспечение безопасности медицинских сведений при передаче их по каналам связи. Важно заметить, что несовместимость с этим разделом HIPAA может привести к наступлению уголовной ответственности с лишением свободы на срок до 10 лет и штрафам до 250 тыс. долларов.

Положения HIPAA, касающиеся приватности, вступили в силу в апреле 2003 года. Организации обязаны были обеспечить совместимость с ними до апреля 2005 года (исключение составляют малые компании, подпадающие под действие HIPAA – им дается срок до апреля 2006 года). Хотя HIPAA не заставляет компании внедрять какие-то конкретные продукты или технологии, очевидно, что удовлетворить всем требованиям акта без использования продуктов для предотвращения утечек по сетевым каналам и на уровне рабочих практически невозможно.

Gramm-Leach Bliley Act (GLBA)

Закон Грэма-Лича-Блилей (GLBA) был принят для того, чтобы защитить информацию заказчика, полученную или используемую финансовыми организациями, от кражи, неавторизованного доступа или злоупотребления.

Положения закона, касающиеся безопасности (GLBA Safeguard Rule), требуют от всех финансовых компаний «разработать, внедрить и применять всестороннюю письменную политику ИТ-безопасности, которая подразумевают использование административных, технических и физических мер защиты непубличной информации». Другими словами, сюда попадают номера счетов и детали финансовых операций, номера социального страхования, номера кредитных карт и т.д.
Закон выдвигает целый ряд требований к защите непубличной информации. Например, следует организовать контроль над доступом к информационной системе, где хранятся приватные сведения; электронные записи должны храниться в зашифрованном виде; следует осуществлять мониторинг систем, чтобы вовремя обнаружить попытки вторжения и атаки. Несовместимость с GLBA Safeguard Rule чревата штрафами и лишением свободы на срок до 5 лет.
Требования закона к безопасности точно так же, как и в случае с HIPAA, не определяют конкретные решения, которые следует внедрять. Однако продукты и технологии в сфере предотвращения утечек позволяют закрыть существенную часть несовместимости с GLBA.

California SB 1386

Данный закон штата Калифорния вступил в силу 1 июля 2003 года. Он требует «от государственных агентств, граждан или компаний, занимающихся бизнесом на территории штата Калифорния, которые владеют или лицензируют компьютерные данные, включая персональную информацию: сообщить определенным образом о любой бреши ИТ-безопасности: каждому резиденту штата Калифорния, чья персональная информация в незашифрованном виде была (или разумно предположить, что была) доступна кому-либо без соответствующей на то санкции».

Термин «персональная информация» включает в себя номера социального страхования, номера водительских удостоверений, номер калифорнийской идентификационной карты (California Identification Card), номер счета, номер кредитной или дебитной карты («в сочетании с любыми требуемыми кодами безопасности, кодами доступа или паролями, которые позволят получить доступ к финансовому счету гражданина»).

Данная норма позволяет любому гражданину штата, который пострадал вследствие нарушения положений этого закона, подать гражданский иск и потребовать возместить потери. Вдобавок, суд сам в состоянии возбудить дело против компании-нарушителя. Таким образом, все калифорнийские компании обязаны не только защищать свои информационные системы (где хранятся приватные записи), но еще и принять соответствующие меры для выявления любой утечки (несанкционированной пересылки) конфиденциальных данных за пределы корпоративной сети. В этой связи продукты и технологии для предотвращения подобных инцидентов приходятся как нельзя кстати. Более того, есть все основания полагать, что другие штаты последуют примеру Калифорнии, и аналогичный закон будет принят либо на федеральном уровне, либо в каждом штате отдельно. В этом случае роль решений типа Anti-Leakage Software или Information Leakage Detection and Prevention будет очень сложно переоценить.

Другие

В заключение следует отметить, что другие регулятивные акты (SEC 17A-4, US Patriot Act, Check 21, Government Paperwork Elimination Act) также во многих случаях требуют использования продуктов для предотвращения утечек и других продуктов ИТ-безопасности, хотя и не так явно, как рассмотренные в данной статье. Например, SEC 17A-4 (относительно новые ужесточенные правила, установленные федеральной комиссией) требуют от финансовых компаний поддерживать в виде базы данных переписку с клиентами. Эта база должна соответствовать нормативам по таким параметрам, как поиск и проверка информации, поддержка и архивирование. Компаниям необходимо поддерживать систему обеспечения безопасности передачи электронной почты и ее проверки на соответствие нормативам, что уже требует внедрения определенных решений ИТ-безопасности. Что же до US Patriot Act, то он обязывает финансовые компании использовать программные решения для фильтрации и проверки электронной корреспонденции с физическими лицами и организациями, упоминающимися в федеральных списках, таких как FinCEN, OFAC SDN и других.

* — В состав OECD (Организации экономического сотрудничества и развития) входят 30 стран (Россия не входит): Австралия, Австрия, Бельгия, Канада, Чехия, Дания, Финляндия, Франция, Германия, Греция, Венгрия, Исландия, Ирландия, Италия, Япония, Корея, Люксембург, Мексика, Нидерланды, Новая Зеландия, Норвегия, Польша, Португалия, Словакия, Испания, Швеция, Швейцария, Турция, Великобритания, США.

http://www.infowatch.ru/threats?chapter=150685169&id=170278262
13 сентября 2005


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

09октября

ЭОС - участник Всероссийского форума «ПРОФ ИТ»

Узнать больше

04октября

ЭОС и «Медиалюкс» на конференции «СЭД глазами пользователя – о чем молчат вендоры»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ